Uwaga
- Data pierwotnej publikacji: 14 października 2025 r.
- Identyfikator KB: 5068197
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 16 kwietnia. 2026 |
|
| 10 kwietnia 2026 r |
|
| 20 luty 2026 r |
|
| 16 grudnia 2025 r. |
|
| 11 grudnia 2025 r. |
|
Interfejs wiersza polecenia bezpiecznego rozruchu przy użyciu systemu konfiguracji Windows (WinCS)
Cel: Administratorzy domeny mogą alternatywnie używać systemu konfiguracji Windows (WinCS) wydanego z aktualizacjami systemu operacyjnego Windows, aby wdrażać aktualizacje bezpiecznego rozruchu na klientach i serwerach Windows przyłączonych do domeny. Składa się z narzędzia interfejsu wiersza polecenia (CLI) do wykonywania zapytań i stosowania konfiguracji bezpiecznego rozruchu lokalnie na komputerze.
WinCS działa z kluczem konfiguracji, który może być używany z narzędziem wiersza polecenia do modyfikowania stanu konfiguracji bezpiecznego rozruchu na maszynie. Po zastosowaniu następny zaplanowany bezpieczny rozruch wykona akcje zgodnie z kluczem.
Najpierw sprawdź, czy certyfikaty bezpiecznego rozruchu są zaktualizowane na Twojej platformie
Stan bezpiecznego rozruchu można sprawdzić za pomocą polecenia Powershell:
(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status'). UEFICA2023Status
Jeśli stan to "Zaktualizowano", nie musisz uruchamiać WinCS i możesz pominąć poniższe kroki.
Jeśli certyfikaty nie zostaną zaktualizowane do wersji z 2023 r., obowiązują poniższe dodatkowe kroki.
Platformy obsługiwane przez system WinCS
Narzędzie wiersza poleceń WinCS jest obsługiwane w systemie Windows 10, wersja 21H2, Windows 10, wersja 22H2, Windows 10 1607, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 11, wersja 23H2, Windows 11, wersja 24H2, Windows 11, wersja 25H2.
To narzędzie jest dostępne w aktualizacjach systemu Windows wydanych 28 października 2025 r. i po tej dacie dla systemu Windows 11 w wersji 24H2 i systemu Windows 11 w wersji 23H2.
To narzędzie jest również dostępne w aktualizacjach systemu Windows wydanych 11 listopada 2025 r. i po 11 listopada 2025 r. dla systemu Windows 10, wersja 21H2, Windows 10, wersja 22H2 i Windows Server 2022.
W przypadku systemu Windows Server 2019 to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 13 stycznia 2026 r. i później.
W przypadku systemów Windows Server 2016, Windows 10 1607 to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 14 kwietnia 2026 r. i później.
W przypadku systemów Windows Server 2012 i Windows Server 2012 R2 (ESU) to narzędzie jest dostarczane w aktualizacjach systemu Windows wydanych 14 kwietnia 2026 r. i później.
Oto klucz funkcji konfiguracji bezpiecznego rozruchu, który administratorzy domeny będą odpytywać i stosować do urządzeń za pośrednictwem usługi WinCS.
| Nazwa funkcji | Klucz WinCS | Opis |
|---|---|---|
| Feature_AllKeysAndBootMgrByWinCS | F33E0C8E002 | Włączenie tego klucza umożliwia instalację na urządzeniu następujących nowych certyfikatów bezpiecznego rozruchu dostarczonych przez firmę Microsoft.
|
Wartość klucza WinCS:
- F33E0C8E002 – Stan konfiguracji bezpiecznego rozruchu = włączony
Jak wysłać zapytanie o konfigurację bezpiecznego rozruchu
O konfigurację bezpiecznego rozruchu można zapytać, otwierając wiersz polecenia jako administrator i uruchamiając następujące polecenie:
Uwaga
WinCsFlags.exe /query --key F33E0C8E002
Spowoduje to zwrócenie następujących informacji (na czystym komputerze):
Uwaga
- Flaga: F33E0C8E
- Bieżąca konfiguracja: F33E0C8E001
- Stan: Wyłączony
- Oczekująca konfiguracja: Brak
- Oczekujące działanie: Brak
- FwLink: https://aka.ms/getsecureboot
- Dostępne konfiguracje:
- F33E0C8E002
- F33E0C8E001
Zwróć uwagę, że bieżąca konfiguracja na urządzeniu to F33E0C8E001, co oznacza, że klucz bezpiecznego rozruchu jest w stanie wyłączonym .
Jak zastosować konfigurację bezpiecznego rozruchu
Konfigurację bezpiecznego rozruchu można zastosować, otwierając wiersz polecenia jako administrator i uruchamiając następujące polecenie:
Uwaga
WinCsFlags.exe /apply --key "F33E0C8E002"
Pomyślne zastosowanie klucza powinno zwrócić następujące informacje:
Uwaga
- Flaga: F33E0C8E
- Bieżąca konfiguracja: F33E0C8E002
- Stan: Włączone
- Oczekująca konfiguracja: Brak
- Oczekujące działanie: Brak
- FwLink: https://aka.ms/getsecureboot
- Dostępne konfiguracje:
- F33E0C8E002
- F33E0C8E001
Jak przeprowadzić inspekcję konfiguracji bezpiecznego rozruchu
Aby później określić stan konfiguracji bezpiecznego rozruchu, możesz ponownie uruchomić początkowe polecenie zapytania, otwierając wiersz polecenia jako administrator:
Uwaga
WinCsFlags.exe /query --key F33E0C8E002
W zależności od stanu flagi zostaną wyświetlone informacje podobne do poniższych:
Uwaga
- Flaga: F33E0C8E
- Bieżąca konfiguracja: F33E0C8E002
- Stan: Włączone
- Oczekująca konfiguracja: Brak
- Oczekujące działanie: Brak
- FwLink: https://aka.ms/getsecureboot
- Dostępne konfiguracje:
- F33E0C8E002
- F33E0C8E001
Zwróć uwagę, że stan klucza to teraz Włączone i bieżąca konfiguracja to F33E0C8E002.
Uwaga
Uwaga: Zastosowanie klucza bezpiecznego rozruchu przez WinCS nie oznacza, że proces instalacji certyfikatu bezpiecznego rozruchu rozpoczął się lub zakończył. Oznacza jedynie, że komputer będzie kontynuował aktualizacje bezpiecznego rozruchu, gdy zadanie obsługi bezpiecznego rozruchu (TPMTasks) zostanie uruchomione na tym komputerze przy następnej możliwej okazji. Po uruchomieniu modułu TPMTask na tym komputerze wykryje 0x5944 i przeprowadzi aktualizację. Zgodnie z projektem zaplanowane zadanie Secure-Boot-Update jest uruchamiane co 12 godzin w celu przetworzenia takich flag aktualizacji bezpiecznego rozruchu. W razie potrzeby administratorzy mogą również przyspieszyć zadanie, uruchamiając je ręcznie lub ponownie uruchamiając.
Możesz również ręcznie wyzwolić zadanie obsługi bezpiecznego rozruchu, wykonując poniższe kroki:
Otwórz wiersz programu PowerShell jako administrator, a następnie uruchom następujące polecenie:
Uwaga
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Uruchom ponownie urządzenie dwa razy po uruchomieniu polecenia, aby potwierdzić, że urządzenie jest uruchamiane ze zaktualizowaną bazą danych podpisów zaufanych (DB).
Aby szybko sprawdzić, czy aktualizacja bazy danych bezpiecznego rozruchu zakończyła się pomyślnie, otwórz wiersz polecenia programu PowerShell jako administrator, a następnie uruchom następujące polecenie:
Uwaga
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Jeśli polecenie zwraca wartość True, oznacza to, że aktualizacja zakończyła się pomyślnie.W przypadku wystąpienia błędów podczas stosowania aktualizacji bazy danych zobacz artykuł KB5016061: Rozwiązywanie problemów z lukami w zabezpieczeniach i odwołanymi menedżerami rozruchu.
Uwaga
Sprawdzany jest tylko jeden urząd certyfikacji, a nie wszystkie urzędy certyfikacji.
Aby sprawdzić, czy wszystkie certyfikaty zostały zaktualizowane, zapoznaj się z tematem Aktualizacje certyfikatu bezpiecznego rozruchu: wskazówki dla informatyków i organizacji i postępuj zgodnie ze wskazówkami w sekcji "Monitorowanie dzienników zdarzeń". W tej sekcji znajdują się identyfikatory zdarzeń 1801 i 1808 , które są pełniejszym sposobem inspekcji aktualizacji certyfikatów.